2
VPN mit fritzbox in DMZ von Lancom821 einrichen
Hallo!
wir haben eine Bürogemeinschaft, in der eigenständige Firmen eigene, unabhängige Netzwerke betreiben. Hierfür wurde ein Lancom821, der mehrere IP-Netze parallel betreiben kann, eingesetzt. Der Lancom hat den DSL-Zugang.
Für unser eigenes Netzwerk und um VPN-Zugänge einzurichten, setzen wir eine fritzbox7170 ein, diese bekommt Internetzugang über LAN vom Lancom821. Für unseren Bereich wurde in der Lancom eine DMZ eingerichtet. Internetzugang funktioniert.
Portfreigaben oder Statische Routen sind in der Lancom nicht eingerichtet, da die Meinung vertreten wird, in der DMZ wäre dies unnötig.
Die IP-Adressierung erfolgt über Dynamic DNS, die Dynamic DNS-Adresse werden in der beschriebenen Konstellation von der fritzbox nicht angemeldet. Somit ist auch kein VPN möglich. Von einer fritzbox, die an anderem Standort direkt den DSL-Zugang hat, funktioniert die Anmeldung über diese Dynamic DNS-Adresse sofort.
Was ist denn noch einzurichten, damit VPN von der fritzbox funktioniert?
Vorab schon mal Danke.
wir haben eine Bürogemeinschaft, in der eigenständige Firmen eigene, unabhängige Netzwerke betreiben. Hierfür wurde ein Lancom821, der mehrere IP-Netze parallel betreiben kann, eingesetzt. Der Lancom hat den DSL-Zugang.
Für unser eigenes Netzwerk und um VPN-Zugänge einzurichten, setzen wir eine fritzbox7170 ein, diese bekommt Internetzugang über LAN vom Lancom821. Für unseren Bereich wurde in der Lancom eine DMZ eingerichtet. Internetzugang funktioniert.
Portfreigaben oder Statische Routen sind in der Lancom nicht eingerichtet, da die Meinung vertreten wird, in der DMZ wäre dies unnötig.
Die IP-Adressierung erfolgt über Dynamic DNS, die Dynamic DNS-Adresse werden in der beschriebenen Konstellation von der fritzbox nicht angemeldet. Somit ist auch kein VPN möglich. Von einer fritzbox, die an anderem Standort direkt den DSL-Zugang hat, funktioniert die Anmeldung über diese Dynamic DNS-Adresse sofort.
Was ist denn noch einzurichten, damit VPN von der fritzbox funktioniert?
Vorab schon mal Danke.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 135632
Url: https://administrator.de/contentid/135632
Printed on: April 16, 2024 at 16:04 o'clock
2 Comments
Latest comment
Hi,
das kann auch nicht funktionieren da der Dynamic DNS Dienst nur über das WAN Interface der FritzBox
nach Außen kommuniziert.
Hab die Daten gerade nicht zur Hand aber ich glaube man kann den WAN Port der Fritzbox auch ans Lan
hängen und das Wan Interface entsprechend einstellen. Dann sollte das auch funktionieren.
Mfg.
Edit:
Internetzugang über DSL
Wählen Sie diese Zugangsart, wenn FRITZ!Box direkt mit Ihrem DSL-Anschluss verbunden ist.
Internetzugang über LAN 1
Wählen Sie diesen Zugang, wenn Sie FRITZ!Box an ein bereits vorhandenes Netzwerk (LAN), ein Kabelmodem oder einen DSL-Router anschließen möchten.
<- 2. Option unter "DSL" markieren für den Anschluss der Fritzbox an ein bestehendes LAN am WAN Port wie es bei dir der Fall ist.
das kann auch nicht funktionieren da der Dynamic DNS Dienst nur über das WAN Interface der FritzBox
nach Außen kommuniziert.
Hab die Daten gerade nicht zur Hand aber ich glaube man kann den WAN Port der Fritzbox auch ans Lan
hängen und das Wan Interface entsprechend einstellen. Dann sollte das auch funktionieren.
Mfg.
Edit:
Internetzugang über DSL
Wählen Sie diese Zugangsart, wenn FRITZ!Box direkt mit Ihrem DSL-Anschluss verbunden ist.
Internetzugang über LAN 1
Wählen Sie diesen Zugang, wenn Sie FRITZ!Box an ein bereits vorhandenes Netzwerk (LAN), ein Kabelmodem oder einen DSL-Router anschließen möchten.
<- 2. Option unter "DSL" markieren für den Anschluss der Fritzbox an ein bestehendes LAN am WAN Port wie es bei dir der Fall ist.
Erstmal vorweg: DynDNS hat mit dem erfolgreichen Aufbau eines VPNs nicht das Geringste zu tun ! Ein VPN ob von Fritzbox oder was auch immer funktioniert auch ohne DynDNS Adresse nur mit der nackten IP des Routers die man per http://www.wieistmeineip.de oder mit dem IP2_Tool einfach ermitteln kann. Damit lässt sich wenigstens erstmal generell das VPN aufbauen und testen ..!!
Die Lösung für dich ist recht simpel: Du aktivierst schlicht und einfach den DynDNS Client auf dem LanCom, denn der supportet das auch ! Außerdem ist er dein "Tor ins Internet" denn er hält die öffentliche IP zu eurem Netz und muss somit als Tunnelendpunkt konfiguriert werden.
Die FB macht IPsec als VPN protokoll also forwardest du schlicht und einfach UDP 500, UDP 4500 und ESP im Lancom auf die FB und gut ist.
Mit eurer "Scheunentor" Schrotschuss Lösung einer DMZ habt ihr das ja schon gemacht so das das problemlos klappen sollte.
Generell kann man dir aber sagen das ist ein zeimlich krankes Frickelkonzept für dieses Netzwerkumfeld. Generell gehört dort ein VLAN fähiger Switch hin der alle Gastfirmen mit einem VLAN trennt. Das Routing bzw. den Zugang sollte eine Firewall/Router regeln wie z.B. hier beschrieben:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Diese Lösung supportet zudem noch alle Arten von VPN Zugriff zentral, so das man den lancom dann als simplen DSL Router davor benutzen kann. Eigentlich würde ein simples preiswertes Modem wie dieses hier reichen, da die Router/Firewall selber PPPoE Spricht.
Damit hättest du alle Firmennetze sauber getrennt, kannst zentral VPN Dienste mit allen Protokollen zur Verfügung stellen usw. Überflüssig zu sagen das natürlich auch DynDNS supportet ist...
Alles in allem eine Lösung die nur ein paar Euro kostet dir aber maximale Felxibilität gibt. Was du da machst ist Bastelei die früher oder später scheitert. Allein die Tatsache das die 2te FB nur per LAN angebunden werden kann ist kritisch, da die VPN Verbindung vermutlich nur über die WAN/DSL Schnittstelle suportet ist ?!
Die Lösung für dich ist recht simpel: Du aktivierst schlicht und einfach den DynDNS Client auf dem LanCom, denn der supportet das auch ! Außerdem ist er dein "Tor ins Internet" denn er hält die öffentliche IP zu eurem Netz und muss somit als Tunnelendpunkt konfiguriert werden.
Die FB macht IPsec als VPN protokoll also forwardest du schlicht und einfach UDP 500, UDP 4500 und ESP im Lancom auf die FB und gut ist.
Mit eurer "Scheunentor" Schrotschuss Lösung einer DMZ habt ihr das ja schon gemacht so das das problemlos klappen sollte.
Generell kann man dir aber sagen das ist ein zeimlich krankes Frickelkonzept für dieses Netzwerkumfeld. Generell gehört dort ein VLAN fähiger Switch hin der alle Gastfirmen mit einem VLAN trennt. Das Routing bzw. den Zugang sollte eine Firewall/Router regeln wie z.B. hier beschrieben:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Diese Lösung supportet zudem noch alle Arten von VPN Zugriff zentral, so das man den lancom dann als simplen DSL Router davor benutzen kann. Eigentlich würde ein simples preiswertes Modem wie dieses hier reichen, da die Router/Firewall selber PPPoE Spricht.
Damit hättest du alle Firmennetze sauber getrennt, kannst zentral VPN Dienste mit allen Protokollen zur Verfügung stellen usw. Überflüssig zu sagen das natürlich auch DynDNS supportet ist...
Alles in allem eine Lösung die nur ein paar Euro kostet dir aber maximale Felxibilität gibt. Was du da machst ist Bastelei die früher oder später scheitert. Allein die Tatsache das die 2te FB nur per LAN angebunden werden kann ist kritisch, da die VPN Verbindung vermutlich nur über die WAN/DSL Schnittstelle suportet ist ?!
